渗透测试是什么
渗透测试是等级保护测评过程中的一种测评方法和手段,严格的来说属于等级测评中的三大方法(访谈、核查和测试)之一的测试。渗透测试主要是通过人工模拟攻击被测系统,试图发现漏洞扫描、核查和访谈无法发现的安全漏洞,其本质属于属于动态测评。
渗透测试和漏洞扫描有何区别
1手段不同。渗透测试主要是依靠人工对被测系统进行测试,而漏洞扫描主要是依靠漏洞扫描工具进行自动化扫描;
2范围不同。渗透测试主要集中在Web应用软件、服务器、中间件上,尤其是网上已经发布的高危漏洞,漏洞扫描则是涉及被测系统的所有资产,包括Web应用、服务器、中间件、数据库、终端、网络设备和安全设备等。
3目的不同。渗透测试主要目的是为了发现漏洞扫描等自动化工具无法发现的漏洞和验证核查记录策略有效性,因为漏洞扫描工具难免会存在误报或者遗漏漏洞,而通过人工的渗透测试可以弥补漏洞扫描的缺陷。
渗透测试依据是什么
等级测评的渗透测试和漏洞扫描共同属于验证测试,依据主要是《GBT36627-2018 信息安全技术 网络安全等级保护测试评估技术指南》。该标准详细描述了测试内容和要求,比如包括文档检查、日志检查、网络嗅探、口令爆破、无线扫描、服务端口识别、远程访问测试等。
渗透测试如何开展
和漏洞扫描一样,渗透测试也是需要通过渗透测试笔记本接入被测系统的网络中,仅要求目标网络可达即可。
渗透测试主要内容有哪些
每个测评机构的渗透测试内容可能都不同,大致上是相同的,以我们为例,我们的渗透测试内容主要包括CMS识别、登录口令破解、Java类反序列测试、SQL注入测试、XSS测试、水平越权测试、垂直越权测试、敏感信息泄露检测、用户名枚举测试、登录失败策略锁定测试等。每一类漏洞的风险值是测评机构自行定义,比如SQL注入漏洞一般都定义为高风险,因为此类漏洞可以直接远程导出数据库的数据库或者植入webshell,危害性极大。
渗透测试发现的高危漏洞如何处理
渗透测试发现的漏洞和漏洞扫描的结果同样需要根据风险值而定。渗透测试、漏洞扫描的结果和核查、访谈记录共同作为等级测评记录的结果判定。
渗透测试能否放弃
可以。渗透测试和漏洞扫描一样,均可以放弃,但需要签署放弃渗透测试声明。
原文始发于微信公众号(等级保护那些事):等级测评中渗透测试那些事儿
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论